Les Pro. de la Transfo.Youtube CIO Révolution by AirsaasPodcasts Apple CIO Révolution by AirsaasSpotify CIO Révolution by AirsaasSpotify CIO Révolution by AirsaasCIO Révolution by Airsaas
e
51
Saison 2 : La Révolution numérique dans l'industrie

La cybersécurité pour les ETI, retour d'expérience - Sylvain Coquio

“Il y a bien entendu un grand nombre de risques au sein d’une entreprise, dont le fameux risque financier. Néanmoins, le risque IT et le risque cyber sont devenus, en quelques mois, les risques numéro 1 de la liste.”
Youtube CIO Révolution by AirsaasPodcasts Apple CIO Révolution by AirsaasSpotify CIO Révolution by AirsaasSpotify CIO Révolution by Airsaas

Le podcast en résumé

Arriver dans une entreprise au début de la pandémie de Covid-19 en tant que DSI d’une ETI bien implantée mais immédiatement être confronté à une cyberattaque massive durant cette période si particulière. Voilà le contexte dans lequel a dû travailler Sylvain Coquio durant plusieurs mois. Celui-ci est revenu sur les enjeux de la cybersécurité pour les ETI et plus généralement dans l’entreprise et sur la place prédominante de l’IT. La cybersécurité est l'un des enjeux majeurs vers le passage à l'industrie 4.0.

Sylvain Coquio est le DSI du groupe Manutan depuis maintenant près de deux ans. Avant cela,  il a occupé différents postes de DSI dans de nombreuses entreprises comme SFR, TALLY WEiJL, Louvre Hotel ou bien ARBUEE. Il a, par moments, été le responsable de la transformation digitale de ces organismes. Aujourd’hui, il est confronté au défi de la cybersécurité.

Au sommaire de cet épisode :

I) Les deux piliers de l’entreprise : le digital et la supply chain. Dans cette partie, Sylvain Coquio nous explique comment Manutan a pris le chemin du digital il y a une décennie pour optimiser sa supply chain. Une transformation qui a eu des bons mais également des mauvais côtés. 

II) Victimes d’une cyberattaque, quelles leçons l’entreprise et la DSI ont retenu ? À cause d’une vulnérabilité dans leur SI, Manutan s’est fait attaquer et a été paralysé pendant plusieurs semaines. Comment l’entreprise s’en est-elle sorti ? Quelles leçons a-t-elle tiré de cette mésaventure ?

III) S’adapter pour être au plus près de la cybersécurité. Une cyberattaque massive est un véritable électrochoc, certes, mais attention à ne se pas perdre en prenant n’importe quelle mesure pour renforcer la cybersécurité ! Retrouvez les conseils de Sylvain Coquio en matière d’adaptation. 

I) Les deux piliers de l’entreprise : le digital et la supply chain

L’entreprise Manutan, grâce à sa croissance organique et externe, est aujourd’hui, le leader européen du retail B2B spécialisé dans la vente de produits de classe C (produits non productifs et services) en tant que distributeur. 

Elle se découpe en trois grandes activités : une pour les entreprises (de toute taille), une pour les collectivités locales, et une qui vise les artisans. Le nerf de la guerre pour Manutan (et pour sa DSI) consiste à référencer l’ensemble de ses produits, de ses services et de ses fournisseurs. Le cœur de métier est donc en lien avec la logistique, la supply chain, afin de livrer les produits dans les temps.

“Il y a plus de dix ans, notre entreprise a fait un virage vers le digital afin d’en faire son canal principal. Aujourd’hui, plus de la moitié de nos ventes s’obtiennent grâce au digital, un chiffre qui s’explique aussi par les périodes de confinements liés au Covid.”

Selon Sylvain Coquio, le digital est désormais dans les gènes de l’entreprise, au même titre que la gestion de la supply chain. L’entreprise a sept entrepôts en Europe qui permet d’alimenter l’ensemble de ses clients dans tout le continent. C’est grâce à la complémentarité du digital et de la supply chain et à leur uniformisation que l’entreprise peut réussir à livrer l’ensemble de ses produits en temps et en haute. 

La présence de l’IT au sein du Comex est une véritable force selon lui. Le fait que la DSI ait la parole dans le comité qui prend les décisions phares de l’évolution de l’entreprise est un pas majeur dans la compréhension des enjeux IT pour une société.

Pour Sylvain Coquio, si une ETI n’accorde pas un grand budget à la cybersécurité, une grande énergie pour maintenir l’infrastructure SI en place, et que le responsable de l’IT/de la transformation digtale/le DSI n’est pas au Comex, l’entreprise ne pourra jamais prétendre à la même dynamique que celles ayant déjà enclenché leur transformation numérique.

“Notre système d’information était plutôt obsolète, hétérogène et éclaté un peu partout… Pour tout vous dire : pour 2 300 employés, nous avions 1 200 serveurs. Administrer, sécuriser, patcher l’ensemble de ces serveurs, c’est quasiment impossible avec les équipes qu’on avait.”

L’entreprise s’est confrontée à une première “crise”, à savoir celle du Covid. Sylvain Coquio est arrivé au sein de Manutan au moment exact où l’ensemble des employés ont dû basculer vers le télétravail. Cela a été un premier défi pour lui. Il s’est par la suite, attelé à l’articulation des différents projets. Plutôt fonctionnel depuis le passage de l’entreprise vers le digital, ce qui a permis à l’entreprise d’acquérir une base, cela a engendré la création d’un SI plutôt obsolète, qu’il a fallu mettre à jour mais qui, surtout, proposait des vulnérabilités. 

À retenir :

  • Depuis près de 10 ans, Manutan a fait le choix du digital et à raison ! Néanmoins, ses projets étant très fonctionnel, elle ne s’est pas interessé à la cohérence de son SI et à sa sécurité. Sylvain Coquio a tenté de remédier à ça en mettant en place une stratégie digitale permettant d’uniformiser digital et supply chain pour relier l’ensemble des entrepôts de la firme entre eux. A noter que la DSI est au comex, ce qui lui permet de donner son avis sur les grands axes de croissance de l’entreprise.

II) Victimes d’une cyberattaque, quelles leçons l’entreprise et la DSI ont retenu ?

À cause du trop grand nombre de serveurs exploités par Manutan, ces derniers ont été les victimes d’une cyberattaque massive, paralysant l’entreprise pour quelques semaines.

“Il ne faut pas cacher que cette cyberattaque a été un véritable électrochoc. L’entreprise a pris conscience de l’importance de l’informatique. L’IT, c’est les fondations de l’entreprise : si cet aspect là ne fonctionne pas, rien ne fonctionne, la société ne tourne plus.”

Tout d’abord, l’entreprise a été sauvée grâce à quelques choix qui avaient été faits auparavant en matière de cybersécurité, notamment en ce qui concerne le backup. Cela a permis à l’entreprise de retrouver la quasi-totalité de ses données stockées avant l’attaque.

Bien entendu, l’entreprise s’est servie de cette cyberattaque pour mener des projets structurants qu’ils n’avaient pas priorisé initialement : grands programmes de refonte recommandée par l’ANSSI au niveau de l’infrastructure (réseau, serveur), mise en place d’outils de sécurité, recrutement de nouvelles personnes, migration des outils, etc.

“On est passé d’une société qui avait l’habitude de mettre des budgets IT quasi exclusivement dans le monde du retail, vers une entreprise qui a un positionnement quasi digital, dans lequel le budget IT est bien supérieur et tourné vers d’autres sujets comme la sécurité.”

Sylvain Coquio considère que la prise de conscience s’est faite sur plusieurs aspects : 

  • D’une part, le côté structurel du SI. Si le SI ne fonctionne plus, l’entreprise ne fonctionne plus. Donc travail sur l’infrastructure, l'obsolescence, le maintien en condition opération, etc. Un aspect qui aurait été mis sur la table à un moment ou à un autre.
  • D’une autre part, le côté investissement. Il reconnaît qu’en effet, cette cyberattaque a permis, certes de renforcer la structure du SI, mais a permis d’aller plus loin dans la stratégie digitale de l’entreprise, pour lancer de nouvelles étapes.
  • Enfin, il y a eu un capital confiance qui s’est mis en place. Grâce à cet évènement, l’entreprise a remarqué qu’elle pouvait faire face à de gros imprévus de manière assez rapide (proportionnellement à la gravité de l’attaque ou du problème), ce qui a galvanisé les employés, les a rendus plus productifs.
“A mon sens, ne pas mettre d’argent dans le SI de son entreprise n’est plus une alternative. C’est mettre sa société en danger que de ne plus investir dans son SI, c’est quasiment l’offrir aux hackeurs qui ont tous les outils nécéssaires pour analyser tout type de vulnérabilité.”

A retenir :

  • Une triple prise de conscience suite à cette cyberattaque a permis à Manutan de se relever. Une prise de conscience structurelle lui a permis de mettre à jour son SI de fond en comble et de prendre en compte toutes les dispositions pour faire en sorte qu’une attaque massive du genre ne puisse plus se reproduite. Une prise de conscience financière a fait comprendre qu’il est plus que temps de donner un budget conséquent à l’IT pour qu’elle puisse passer à l’étape supérieure. Enfin, une prise de conscience interne lui a permis de voir qu’elle était capable de réagir correctement lors de problèmes de taille et lui a permis, également, de renforcer son experience pour lutter face aux risques subies par la firme.

III) S’adapter pour être au plus près de la cybersécurité

Manutan est irrémédiablement rentré dans l’ère de la cybersécurité. L’entreprise a mis en place de nombreux processus pour sensibiliser les employés à cette problématique tout en faisant en sorte qu’elle ne soit pas non plus, omniprésente.

“Le fait de télétravailler, ça créé un risque cyber supplémentaire, tout le monde dans notre entreprise le reconnait. Donc on a fait en sorte que le travail en remote soit conditionné par la bonne compréhension des enjeux en lien avec la cybersécurité.”

Après cette cyberattaque, Manutan a lancé des campagnes de formation. Tout nouvel employé doit passer un test après cette formation afin d’être sûr qu’il ait bien compris tout ce qu’on attend de lui autour de la cybersécurité. S’il ne réussit pas le test, il doit à nouveau réaliser cette formation. Chaque année, tous les employés de Manutan suivent à nouveau et obligatoirement cette formation autour de la cybersécurité et sur le RGPD. 

La direction générale s’associe avec la direction des ressources humaines et la direction des systèmes d’information pour la mise en place de ces formations régulières. En plus de leur présence dans le comité exécutif, on retrouve également une nouvelle direction, le MBT pour Marketing Business Technology.

“La direction MBT présente dans le comex a pour but de créer une synergie entre les équipes marketing, les équipes d’experience client, le e-commerce, la data, le master data management et l’IT.”

Sylvain Coquio s’appuie également sur le retour d’autres DSI, et sur le soutien des clients et des entreprises partenaires qui comprennent et qui n’hésitent pas à aider. Il considère qu’il faut plus que jamais être transparent sur ce genre de situations et échanger avec des experts afin d’avoir leur point de vue.

“Chaque trimestre, nous faisons un point avec des spécialistes de la cybersécurité afin de faire de la veille technologique sur ce sujet, quelles sont les tendances, les grands et nouveaux risques que l’on peut encourir, vérifier si nous avons pris les bonnes décisions. La communauté des DSI et des RSSI est très mobilité autour de ces sujets-là.”

L’entreprise a notamment avancé sur le usecase avec la mise en place de design review, une sorte de table ronde qui regroupe toutes les parties prenantes de la mise en place d’une solution : RSSI (pour s’assurer de la viabilité de la solution), data architect, direction métier, DSI, et même une juriste qui s’assure de la conformité de la solution. Il y a aussi une DPIA pour assurer que le traitement mis en œuvre respecte la RGPD en matière de data privacy.

Enfin, il n’a pas hésité à demander au comité de direction, s’il était possible de recruter afin de pallier à la mise en place de son nouveau schéma directeur, très tournée vers la cybersécurité. Les enjeux en lien avec le recrutement sont très complexes pour Sylvain Coquio qui considère qu’il doit travailler en étroite collaboration avec les ressources humaines afin de recruter les personnes adéquates pour son projet directeur. 

À retenir :

  • La formation permet aux employés d’être briefés sur des sujets d’utilité comme la cybersécurité ou le RGPD. Alors que le télétravail n’a jamais été aussi présent, l’entreprise tente de capitaliser dessus en proposant aux employés de travailler en remote s’ils réussisent à comprendre tous les risques qu’il existe et qu’ils peuvent contourner lorsqu’il travaillent à distance. La DSI a renforcé son processus de mise en place de solution en faisant en sorte que toutes les parties prenantes puissent se rejoindre pour discuter de la viabilité et de l’utilité de l’outil. Sylvain Coquio a compris que la veille technologique était importante et n’hésite pas à se référer à des experts pour être au courant des dernières avancées en matière de cybersécurité.

Conclusion

Savoir se relever après avoir subi une cyberattaque n’est pas une mince affaire, tout comme mettre en place une série de mesures pour faire en sorte que cela ne se reproduise plus. Sylvain Coquio a su rebondir après avoir vécu cette difficile épreuve quelques semaines seulement après son arrivée en tant que DSI du groupe Manutan. Il a immédiatement remarqué et saisi la culture digitale qu’incarne l’entreprise et l’a prise en compte pour mettre en place des projets structures pour la dynamique de l’entreprise.

Bien entendu, après avoir subi une cyberattaque massive, ce schéma directeur est tourné vers la sécurité du SI mais il ne faut pas oublier les fondamentaux : réseaux, serveurs, outils à destination des directions métiers, maintenance, support, relations avec les directions, etc. La stratégie qu’a mis en place Sylvain Coquio prend en compte tous ces aspects.

No items found.

La video du podcast DSI

Le podcast en transcription

linkedin
Bertran Ruiz
CEO AirSaas

CIO Révolution : Le podcast des DSI modernes

Le podcast pour comprendre comme le métier de DSI est en train de changer. D'un métier technique à un métier orienté business, le DSI est la clef de la transformation de nos entreprises.

Chaque semaine, Bertran ruiz discute avec les CIO et DSI qui se livrent, et vous partagent leurs expériences. Un condensé de savoir et d'apprentissage.

Les derniers épisodes du podcast